Главные уязвимости в IT-системах госструктур стали слабые пароли и устаревшие ПО
Самые распространенные уязвимости в IT-системах российских госорганизаций - это слабые пароли и устаревшее программное обеспечение. Такие недостатки были найдены в более чем 60% исследованных IT-инфраструктур.
В основе исследования - более 200 проектов по анализу защищенности и тестированию на проникновение (пентестам). Из них 63% работ относилось к госсектору. Недостатки, связанные с паролями, встретились в трети проектов. Специалисты по-прежнему находят простые пароли и пароли по умолчанию: password, user1, demo, простые последовательности чисел (12345), пустые пароли в приложениях "1С" и др. Такие данные приводят эксперты отдела анализа защищенности центра противодействия кибератакам Solar JSOC ГК "Солар".
Также распространенной проблемой остается использование ПО с известными, но незакрытыми уязвимостями. В частности, речь идет о таком ПО, как Liferay, 1С-Битрикс, Pentaho, Microsoft Exchange, Avaya Aura, Jira и др. Несмотря на то, что обновления безопасности для подобных уязвимостей уже давно доступны для установки, многие компании и организации не применяют их вовремя, что играет на руку киберпреступникам. По статистике, полученной по результатам пентестов, в среднем для преодоления защитного периметра IT-систем экспертам потребовалось в среднем от 1 до 5 дней.
Комментируя результаты исследования, руководитель отдела анализа защищенности Solar JSOC ГК "Солар" Александр Колесов объяснил, что крупные государственные организации не всегда успевают за обновлением ПО. При этом важно понимать, что это иногда невозможно сделать быстро, так как обновление может сказаться на стабильности работы сервисов. А государству важна стабильность предоставляемых гражданам услуг. "Пока уровень защищенности региональных госорганизаций ниже, чем федеральных. И им предстоит ещё нарастить уровень ИБ и бюджеты на это направление. Однако, очевидно, что с каждым годом ситуация улучшается", - отметил Колесов.
Кроме этого, в исследовании отмечается, что критичные уязвимости встречаются и в мобильных приложениях, через которые граждане могут получить различные услуги.
Они связаны с незашифрованным хранением данных на устройстве, раскрытием отладочной информации, недостатками контроля доступа.
Аналитик направления аналитических исследований Positive Technologies Никита Басынин считает, что высокий процент организаций, в которых были найдены уязвимости - не показатель "катастрофы", поскольку такие исследования и проводятся именно для того, чтобы выявить уязвимые места и дать организации понимание, какие моменты ему необходимо исправить.
"Для того, чтобы объяснить такой высокий процент организаций с уязвимостями на периметре, можно привести аналогию с медицинским обследованием: если у 60% пациентов нашли какие-то проблемы со здоровьем, это не значит, что все они смертельно больны, но означает, что обследование работает, помогает выявить проблемы и дает возможность их исправить, пока не стало хуже. И продолжая аналогию, стоит заметить, что абсолютно здоровых людей нет, но есть те, которые просто не знают о своих проблемах. Все это подчеркивает важность проведения регулярного обследования для своевременного выявления проблем в области кибербезопасности", - подчеркнул Басынин.
Проведение подобных проверок - очень важно, ведь сегодня риск для компаний любой отрасли и размера столкнуться с кибератаками очень велик, а наиболее актуальными и опасными угрозами для организаций остаются программы-шифровальщики, парализующие работу организаций, а также инциденты, приводящие к утечке данных.
" Уязвимости есть в любой системе, важно их находить и оперативно закрывать. То, что организации заказывают тестирование на проникновение и другие аудиты в качестве инструментов для обеспечения своей информационной безопасности, демонстрирует, что государственные компании очень ответственно подходят к вопросу киберзащиты, - говорит главный эксперт "Лаборатории Касперского" Сергей Голованов и продолжает. - К сожалению, несмотря на рекомендации компаний по информационной безопасности, люди склонны пренебрегать базовыми правилами информационной безопасности, поэтому как в корпоративной среде, так и как домашним пользователям важно использовать сложные уникальные пароли, регулярно обновлять ПО и использовать защитные решения".
По мнению члена комитета Госдумы по информационной политике, информационным технологиям и связи, депутата Антона Немкина выводы исследования очевидны: для повышения уровня безопасности необходимо срочно пересмотреть подходы к управлению паролями, обновлению программного обеспечения и защите мобильных приложений.
"Комплексная кибербезопасность должна стать приоритетом, иначе риски утечек и компрометаций будут только расти. Пентесты играют ключевую роль в выявлении уязвимостей и недостатков безопасности, которые могут быть использованы злоумышленниками. Они позволяют организациям увидеть инфраструктуру глазами хакера, что делает возможным обнаружение реальных точек входа в системы до того, как их найдут преступники. В условиях стремительного роста числа атак и появления новых техник взлома, увеличение числа проектов по тестированию на проникновение должно стать приоритетом для каждой организации, заинтересованной в защите своих данных. А мы пока работаем над тем, чтобы с законодательной точки зрения урегулировать все вопросы, связанные с работой пентестеров в нашей стране", - заключил депутат.